功能强大，但因安全隐患被企业禁用的Python内置函数

功能强大，但却因安全隐患被企业禁用的Python内置函数

eval()函数是Python的内置函数，功能非常强大，但是存在不小的安全隐患。有些企业或项目出于安全考虑，禁止使用eval()函数，会在一些安全相关的扫描校验中进行识别和拦截，杜绝使用。

究竟eval()函数强大在哪？又有什么安全隐患？本文将逐一进行总结分析。

eval()函数介绍

eval()函数语法：

eval(expression[, globals[, locals]])

• expression: 字符串表达式。
• globals: 可选参数，全局变量，如果设置，则必须是一个字典对象。
• locals: 可选参数，局部变量，如果设置，则可以是任何映射(mapping)对象。如果只设置了globals，locals默认与globals一样。

eval()函数的作用是将字符串当成有效的表达式来求值并返回计算的结果。相当于去掉字符串首尾的引号，并执行去掉引号后的语句，返回执行的结果。

主要效果体现为：

• 执行一个字符串表达式，并返回表达式的值。
• 将字符串转成对应格式的数据对象（如int、list、tuple或dict）。

eval()函数的强大功能

1.执行字符串表达式并返回结果。

# 计算表达式
s = eval("5 + 7")
print('s: ', s)
s1 = eval('[i for i in range(10)]')
print('s1: ', s1)

Output:

s:  12
s1:  [0, 1, 2, 3, 4, 5, 6, 7, 8, 9]

eval()可以对字符串中的数字加法进行计算，返回计算结果。也可以直接执行字符串中的列表推导式这类表达式，返回执行的结果。

2.执行表达式时支持将变量传到字符串中。

# 传入变量
x = 111
s2 = eval("123 + x")
print('s2: ', s2)
# 设置globals
y = 2222
s3 = eval("1234 + y", {"y": 1111})
print('s3: ', s3)
# 设置globals, locals
z = 22222
s4 = eval("12345 + z", {"z": 11111}, {"z": 33333})
print('s4: ', s4)

Output:

s2:  234
s3:  2345
s4:  45678

在eval()中执行表达式还支持传参，可以在当前 .py 代码环境中定义变量，也可以通过eval()函数的globals参数和locals参数传值。优先级locals高于globals，globals高于当前 .py代码环境的变量。

3.返回对应类型的数据。

# 将引号中的内容还原成对应类型的数据
sta = '12345'
print(type(eval(sta)), eval(sta))
stb = '[1, 2, 3, 4, 5, 6, 7]'
print(type(eval(stb)), eval(stb))
stc = '(2, 4, 6, 8, 10)'
print(type(eval(stc)), eval(stc))
std = '{"beijing": 1, "shanghai": 2, "guangzhou": 3, "shenzhen": 4}'
print(type(eval(std)), eval(std))

Output:

<class 'int'> 12345
<class 'list'> [1, 2, 3, 4, 5, 6, 7]
<class 'tuple'> (2, 4, 6, 8, 10)
<class 'dict'> {'beijing': 1, 'shanghai': 2, 'guangzhou': 3, 'shenzhen': 4}

eval()函数直接返回字符串内容对应的数据类型，作用相当于将字符串首尾的引号去掉，如果不用eval()，自己转换数据类型，需要好几个步骤。

eval()函数经常和input()函数配合使用，直接将用户输入的字符串转换成对应类型的数据。

eval()函数也经常用于从配置文件中读取内容，读取内容的同时直接转换成对应类型。

eval()函数的安全隐患

eval()函数功能非常强大，但同时也存在不小的安全隐患，原因正是eval()可以将字符串转成表达式执行。

# 调用库执行系统命令
import os

eval("os.system('whoami')")
eval("os.system('echo 123')")

Output:

desktop-xxx\xxx
123

如果在执行eval()函数的运行环境中导入了os模块，恶意用户可以通过eval()函数调用os模块中的系统命令函数system()，执行一系列的系统命令来达到他的目的。

如os.system(‘whoami’)可以查看当前系统的登录用户、os.system(‘dir’)可以查看当前目录下的所有文件。假如执行的是查看源码或删除数据等的命令，将会产生严重的后果。

针对这种隐患，有没有办法限制用户执行系统命令呢？

import os

print('os' in globals())
eval("os.system('whoami')")
print("*"*30)
# 将globals参数设置成空
eval("os.system('whoami')", {}, {})
eval("os.system('whoami')", {})

Output:

True
desktop-xxx\xxx
******************************
Traceback (most recent call last):
  File "C:/Users/xxx/Desktop/eval_demo.py", line 49, in <module>
    eval("os.system('whoami')", {}, {})
  File "<string>", line 1, in <module>
NameError: name 'os' is not defined

上面的代码运行环境中导入了os库，eval()中可以正常调用。假如将eval()中的globals和locals参数设置成空，eval()中就找不到os库了，执行代码报错。

eval()函数中变量加载的优先级顺序为：局部变量locals > 全局变量globals > 当前 .py环境中的变量。

这里需要注意，如果未设置locals或locals为空，则locals与globals一样。假如locals中不存在值，会再到globals中寻找值。因此，要设置locals和globals中都没有os库，才能避免用户调用。（实际应用时并不一定都是将locals和globals设置为空，设置为空只是一种示例）。

通过对locals和globals的限制，避免了用户调用当前运行环境中导入的os库。但是，限制用户使用已导入的库，用户可以自己导入库并使用。

# 导入os库并执行系统命令
eval("__import__('os').system('whoami')")
eval("__import__('os').system('echo 123')")
# 增加globals和locals的限制
eval("__import__('os').system('whoami')", {})
eval("__import__('os').system('echo 123')", {}, {})

Output:

desktop-xxx\xxx
123
desktop-xxx\xxx
123

如果恶意用户发现当前的运行环境中没有导入os，或者导入的os库被限制使用，调用os.system()报错。恶意用户会尝试自己导包，用__import__(‘os’)可以在eval()函数中导入os库，同时执行一系列的系统命令来达到他的目的。

这种方法是在每次执行时都导包，并立即链式执行系统命令，在globals和locals中去掉os并不能起到限制。而且，os库是python中的标准库，只要有python就一定有os库，用户必然能导入成功。

那针对这种隐患，有没有办法不让用户导包呢？

# 在globals中将__builtins__设置为None
eval("__import__('os').system('whoami')", {"__builtins__": None})

Output:

Traceback (most recent call last):
  File "C:/Users/xxx/Desktop/eval_demo.py", line 62, in <module>
    eval("__import__('os').system('whoami')", {"__builtins__": None})
  File "<string>", line 1, in <module>
TypeError: 'NoneType' object is not subscriptable

用户自己在eval()函数中导包，是使用__import__()函数实现的。__import__()函数是python的内建函数，是用于动态导库的函数。

print(dir(__builtins__))

Output:

['ArithmeticError', 'AssertionError', 'AttributeError', 'BaseException', 'BlockingIOError', 'BrokenPipeError', 'BufferError', 'BytesWarning', 'ChildProcessError', 'ConnectionAbortedError', 'ConnectionError', 'ConnectionRefusedError', 'ConnectionResetError', 'DeprecationWarning', 'EOFError', 'Ellipsis', 'EnvironmentError', 'Exception', 'False', 'FileExistsError', 'FileNotFoundError', 'FloatingPointError', 'FutureWarning', 'GeneratorExit', 'IOError', 'ImportError', 'ImportWarning', 'IndentationError', 'IndexError', 'InterruptedError', 'IsADirectoryError', 'KeyError', 'KeyboardInterrupt', 'LookupError', 'MemoryError', 'ModuleNotFoundError', 'NameError', 'None', 'NotADirectoryError', 'NotImplemented', 'NotImplementedError', 'OSError', 'OverflowError', 'PendingDeprecationWarning', 'PermissionError', 'ProcessLookupError', 'RecursionError', 'ReferenceError', 'ResourceWarning', 'RuntimeError', 'RuntimeWarning', 'StopAsyncIteration', 'StopIteration', 'SyntaxError', 'SyntaxWarning', 'SystemError', 'SystemExit', 'TabError', 'TimeoutError', 'True', 'TypeError', 'UnboundLocalError', 'UnicodeDecodeError', 'UnicodeEncodeError', 'UnicodeError', 'UnicodeTranslateError', 'UnicodeWarning', 'UserWarning', 'ValueError', 'Warning', 'WindowsError', 'ZeroDivisionError', '__build_class__', '__debug__', '__doc__', '__import__', '__loader__', '__name__', '__package__', '__spec__', 'abs', 'all', 'any', 'ascii', 'bin', 'bool', 'breakpoint', 'bytearray', 'bytes', 'callable', 'chr', 'classmethod', 'compile', 'complex', 'copyright', 'credits', 'delattr', 'dict', 'dir', 'divmod', 'enumerate', 'eval', 'exec', 'exit', 'filter', 'float', 'format', 'frozenset', 'getattr', 'globals', 'hasattr', 'hash', 'help', 'hex', 'id', 'input', 'int', 'isinstance', 'issubclass', 'iter', 'len', 'license', 'list', 'locals', 'map', 'max', 'memoryview', 'min', 'next', 'object', 'oct', 'open', 'ord', 'pow', 'print', 'property', 'quit', 'range', 'repr', 'reversed', 'round', 'set', 'setattr', 'slice', 'sorted', 'staticmethod', 'str', 'sum', 'super', 'tuple', 'type', 'vars', 'zip']

在python中，内建函数都在__builtins__模块中，在启动python时，python解释器就直接导入了__builtins__模块中的函数。__import__()函数就是__builtins__模块中的一员，也就是说，python解释器默认导入了__import__()函数，用户可以直接调用。

上面的代码在globals参数中将__builtins__设置成None，eval()函数就获取不到__import__()函数了，无法自己导包，执行代码报错。

但是，限制用户导包，恶意用户还可以通过其他途径获取到os库。

s = '[x for x in ().__class__.__bases__[0].__subclasses__() if x.__name__ == "zipimporter"][0]("C:/Users/xxx/Lib/site-packages/setuptools-28.8.0-py3.6.egg").load_module("setuptools").os.system("whoami")'
eval(s, {"__builtins__": None})

Output:

desktop-xxx\xxx

上面这种方式也可以成功执行系统命令。代码中利用__class__和__subclasses__动态加载了基类object的所有子类（可以执行下面这行代码查看当前环境中基类都有哪些子类），然后找到了zipimporter，用zipimporter动态加载setuptools库的 .egg包，再链式调用load_module()成功导入setuptools库，从而成功调用os库执行系统命令。

print([x.__name__ for x in ().__class__.__bases__[0].__subclasses__()])

在python中，有一些库中内置了os库，导入这些库后就能调用os库，其中就包含setuptools，此外还有configobj、urllib、urllib2等。

当然，执行上面的代码需要有对应的.egg包，如果你也想演示看效果，你可以先在自己的电脑磁盘中全局搜一下，找不到再到网络下载。

以上是eval()函数的一些安全隐患，可谓是防不胜防，在写代码时无形中就需要和恶意用户进行很多回合的思维对抗，假如有哪个细节稍微考虑不周，就会留下很大的隐患。而且，关于eval()，恶意用户还有很多可以利用的方法，如删数据、暴力占满服务器的CPU资源等。

既然用了就防不胜防，那只有不用才不会留下隐患，所以，在一些企业和项目中就禁用了eval()函数。

（当然，python中也有替代方案，那就是ast.literal_eval()函数，ast.literal_eval()函数会判断字符串内容去掉首尾的引号后是不是合法的python类型，如果不是就报错，因此ast.literal_eval()函数也只能进行类型转换。）

以上就是本文的全部内容，希望能对你有帮助，欢迎点赞、收藏、评论和关注。

参考文档：
为什么说eval要慎用

推荐阅读
用Python代码自己写Python代码，竟如此简单

☟学Python，点击下方名片关注我。☟